VULHUB ™

### 简要描述： Iwebmall 最新版SQL注入第六枚 ### 详细说明： 看到wooyun上有人提了几个iweb的漏洞（ [WooYun: iwebmall商城程序sql注入](http://www.wooyun.org/bugs/wooyun-2014-078282) ， [WooYun: Iwebsns sql 第五枚。](http://www.wooyun.org/bugs/wooyun-2014-061267) ），我来捡捡漏儿吧，希望不要重复。 先把注入点拿出来：www.xxx.com/do.php?/do.php?act=add_transport_template ，POST的内容中有两个参数（transport_name和description）存在注入。 action/goods/add_transport_template.php ``` 无关代码 $shop_id = intval(get_args('shop_id')); $post = $_POST; if (!isset($post['transport_type'])) { action_return(0,$m_langpackage->m_search_type."!","modules.php?app=goods_list"); exit; } $arr = array(); $info['transport_name']=$post['transport_name']; $info['description'] = $post['description']; foreach ($post['transport_type'] as $k=>$v){ $arr[$v]=array(); } //查询开启的配送方式 $sql = "select * from $t_transport where ifopen=1"; $tran_list=$dbo->getRs($sql); //循环获得前台传来的值，通过tranid字段作为数组下标 foreach ($tran_list as $val){ $arr[$val['tranid']]['frist']=$post['frist'.$val['tranid']];...

### 简要描述： Iwebmall 最新版SQL注入第六枚 ### 详细说明： 看到wooyun上有人提了几个iweb的漏洞（ [WooYun: iwebmall商城程序sql注入](http://www.wooyun.org/bugs/wooyun-2014-078282) ， [WooYun: Iwebsns sql 第五枚。](http://www.wooyun.org/bugs/wooyun-2014-061267) ），我来捡捡漏儿吧，希望不要重复。 先把注入点拿出来：www.xxx.com/do.php?/do.php?act=add_transport_template ，POST的内容中有两个参数（transport_name和description）存在注入。 action/goods/add_transport_template.php ``` 无关代码 $shop_id = intval(get_args('shop_id')); $post = $_POST; if (!isset($post['transport_type'])) { action_return(0,$m_langpackage->m_search_type."!","modules.php?app=goods_list"); exit; } $arr = array(); $info['transport_name']=$post['transport_name']; $info['description'] = $post['description']; foreach ($post['transport_type'] as $k=>$v){ $arr[$v]=array(); } //查询开启的配送方式 $sql = "select * from $t_transport where ifopen=1"; $tran_list=$dbo->getRs($sql); //循环获得前台传来的值，通过tranid字段作为数组下标 foreach ($tran_list as $val){ $arr[$val['tranid']]['frist']=$post['frist'.$val['tranid']]; $arr[$val['tranid']]['second']=$post['second'.$val['tranid']]; if(isset($post['ord_item_dest'.$val['tranid']])){ foreach ($post['ord_item_dest'.$val['tranid']] as $k=>$v){ $v = substr($v,0,-1); $areaarr = explode(",",$v); foreach ($areaarr as $key=>$value){ $arr[$val['tranid']][$value]=array("frist"=>$post['ord_area_frist'.$val['tranid']][$k],"second"=>$post['ord_area_second'.$val['tranid']][$k]); } } } } $info['shop_id']= get_sess_shop_id(); $info['content'] = serialize($arr); if ($dbo->createbyarr($info,$t_transport_template)) { action_return(1,$m_langpackage->m_add_success."！","modules.php?app=goods_list"); }else{ echo "no"; } 无关代码 ``` 当通过POST方法提交transport_name和description时，由于没有对其进行过滤，因此这里可以注入。Iweb没有错误回显，这里用time-based blind进行注入测试。 测试时：登陆后访问如上的请求，抓包，按上面的payload进行修改即可。 因为是time-based blind 注入，猜测管理员用户名的第三个字母时，若错误，延迟2s左右，如下图 [<img src="https://images.seebug.org/upload/201412/112300492059c4295dcbbb11f509af1633f59339.jpg" alt="猜测错误副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/112300492059c4295dcbbb11f509af1633f59339.jpg) 若正确，延迟5s左右，如下图 [<img src="https://images.seebug.org/upload/201412/1123010978ce884164e710d5478dac7c16150397.jpg" alt="猜测成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/1123010978ce884164e710d5478dac7c16150397.jpg) 按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：admin，密码为： 21232f297a57a5a743894a0e4a801fc3 ### 漏洞证明： 见 详细说明